Cómo evaluar la gravedad / impacto de la vulnerabilidad

3

En nuestra organización, queríamos revisar el panorama general de TI y las aplicaciones más críticas para la vulnerabilidad en la fase 1, y luego ver las aplicaciones menos críticas en la fase 2 ... cuando nos embarcamos en el ejercicio, nos dimos cuenta de que ciertas Las aplicaciones críticas pueden ser el punto de entrada para aplicaciones críticas. (lo que parecía una aplicación de bajo impacto creada con muy poco enfoque; podría ser una entrada para aplicaciones críticas)

Hay un enfoque que podemos adoptar, mediante el cual podemos ver la gravedad de las aplicaciones a través de este modo indirecto también. Cualquier dirección / punteros serán apreciados

    
pregunta raghu 30.03.2013 - 15:35
fuente

2 respuestas

1

ISO / IEC 27001 y 27002 abarcan esto de manera exhaustiva. Tienden a ser inespecíficos, pero exhaustivos. Encontrará pautas útiles en la 27000 series en general.

NIST SP800-30 Guía para realizar evaluaciones de riesgo es quizás más accesible, te recomiendo que empieces allí. Luego, consulte la NIST SP800 series para obtener documentos adicionales, incluidos al menos SP800-115 Guía técnica para la evaluación y evaluación de seguridad de la información .

Los documentos de la norma ISO / IEC no son gratuitos, puede encontrar numerosos documentos relacionados, incluso para la norma británica (en la que se basan en gran medida) BS 7799 . Los documentos del NIST SP800 son gratuitos.

Algunas de las respuestas a esta pregunta relacionada también pueden ser útiles: Buscando una metodología abierta de evaluación de riesgos

    
respondido por el mr.spuratic 30.03.2013 - 16:42
fuente
0

Lo que pides en la pregunta y lo que pides en el contenido de la pregunta parecen cosas diferentes. Una cosa es evaluar los activos (por ejemplo, la aplicación) otra cosa es evaluar las vulnerabilidades.

Para evaluar activos existen múltiples metodologías de evaluación de riesgos como ISO 27005 (un marco para implementar su propia metodología), Magerit , Mehari , Octave y otros. Lo que voy a explicar es solo un ejemplo que se puede usar. Primero evalúe sus aplicaciones en términos de necesidad de confidencialidad, integridad y disponibilidad. Puede usar una escala del 1 al 5 (por ejemplo) y la suma de los tres será el valor para esa aplicación en particular. La vulnerabilidad más importante podría ser la que afecta al activo más crítico.

Otra forma de evaluar la importancia de una vulnerabilidad podría ser utilizar el estándar CVSS .

    
respondido por el kinunt 30.03.2013 - 17:49
fuente

Lea otras preguntas en las etiquetas